Розпродаж хостинг-планів на неймовірних умовах!
Знижка від 300 до 500грн!
 

автор Дмитро Кондрюк

09.01.2010

0

Зверніть увагу: ця публікація побачила світ більше року тому, з того часу багато чого могло змінитися ;)

Ви вже читали публікацію “Безпечний блог на WordPress” та її продовження, у якій я розповідав, що потрібно зробити, аби максимально захистити свій блог від зловмисників. Сьогодні хочеться дати декілька коротких порад для тих, хто віддає перевагу практиці та не любить багато читати.

Доступ до wp-admin по IP

Надати доступ тільки своїм IP адресам до директорії wp-admin – це дуже сильна річ. Це зупинить тих, хто намагатиметься зламати блог, використовючи brute force (не зупинить тільки Вас 🙂 ), також Ви будете впевнені, що тільки Ви можете керувати Вашим блогом. Отже зробити потрібно наступне – додайте до файлу .htaccess у кореневій директорії Вашого сайту наступне:

<files wp-login.php>
Order deny,allow
Deny from All
Allow from 123.456.789.0
</files>

Підставте замість 123.456.789.0 своє значення.

Супер складний пароль доступу до бази даних

Використання складного пароля доступу до бази даних дуже ускладнює зловмисникам роботу по її взлому. Ще одна важлива річ – це зміна стандартних назв таблиць WordPress. Згенерувати пароль Ви можете, наприклад, використовуючи онлайн генератори паролів. А от як змінити імена, Ви можете дізнатись подивившись описану вище статтю – Безпечний блог на WordPress (частина 2).

Захист wp-config.php

Все, що зроблено для захисту Вашого блогу на попередньому кроці, буде марним, якщо не захистити файл wp-config.php. Саме в ньому зберігається уся інформація для доступу до БД. Додайте наступний код до .htaccess,аби захистити найцінніше, що у Вас є – інформацію:

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Будьте обережні з плагінами

Плагіни – це ще один шлях несанкційованого доступу до Вашого блогу. Поганий не професійний код плагіну може стати чорним входом для хакерів. Завжди будьте обережні при встановлені нових плагінів!

Використовуйте SSL

SSL шифрує дані. Тобто зазвичай Ваш пароль надсилається серверу беззахисним, і його можна відновити, перехопивши дані. Якщо Ваш хостинг надає SSL сертифікати, отримайте його та використовуйте(з одним із доступних плагінів).

Оновлюйтесь до останніх версій!

Кожний новий випуск WordPress, зазвичай містить виправлення, що стосуються безпеки. Отже завжди оновлюйтесь до останніх версій! Але не забувайте перед кожним оновлення робити резервну копію Вашої бази даних!

Захистіться від переінсталяції

Після встановлення блогу видалить з директорії /wp-admin/ файл install.php. Це не дозволить зловмисникам запустити процес інсталяції другий раз.

Зупиніть СПАМ

Один із шляхів зупинити спам коментарі – не дозволити працювати спам-скриптам, які приходять на блог без реферів (не за посиланнями), за допомогою наступного коду у .htaccess:

#Stop spammers
<ifModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post. [NC]
RewriteCond %{HTTP_REFERER} !.*wordpress. [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) - [F,L]
</ifModule>

Лише замініть слово wordpress на назву свого домену

Відключіть повідомлення про помилки

Наостанок, невелика, але дуже корисна порада – не показуйте помилки при вході на блог через форму логіну. Для цього додайте у Ваш functions.php, який знаходиться у директорії з активною темою блогу, наступний код, що відключить повідомлення про помилки зі сторінки входу. Таким чином зловмисники не будуть знати, що вони ввели не вірно – логін чи пароль:

add_filter('login_errors',create_function('$a', "return null;"));

Дмитро Кондрюк

Автор публікації Дмитро Кондрюк

В веб-індустрії з 2003 року. В 2009р. заснував проект Український WordPress (що у подальшому став офіційним сайтом команди локалізації WordPress в Україні). З 2010 року засновник і технічний директор проекту Український хостинг для WordPress (WPHost.me) - повноцінного хостинг-сервісу, максимально оптимізованого на використання CMS WordPress.

Є що відповісти?

Ваш email не буде публікуватися

Можна скористатися такими тегами в тексті:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  • 10.01.2010 at 03:59

    Дуже непогана збірка порад щодо захисту. Для себе відкрив багато нового.

    • 10.01.2010 at 10:29

      В планах організувати всі ці поради в гарний посібничок

  • 15.01.2010 at 14:46

    посібник офлайновий чи на сайті буде структуровано інформацію?

    • 15.01.2010 at 14:47

      скоріше за все – на сайті… можливо експортую в пдф на додадток

  • 25.09.2012 at 11:35

    Дякую, деякі друзі використовують вордпрес обовязково скину посилання на ваш сайт 😉